Le fichier wp-config.php contient certaines des informations les plus sensibles de votre site WordPress…
Vous n’avez tout de même pas envie que quelqu’un mette la main de dessus, non ?
Dans ce nouvel épisode, on vous explique avec Julio comment le sécuriser au mieux 🙂
Et voici les morceaux de code PHP promis dans la vidéo :
define( ‘ALLOW_UNFILTERED_UPLOADS’, false ); // interdit l’upload non filtré
define( ‘DISALLOW_UNFILTERED_HTML’, true ); // attention, cela désactive la possibilité d’ajouter des balises iframes et script dans les contenus et aussi la boite CSS du customizer !
define( ‘DISALLOW_FILE_EDIT’, true ); // supprime l’éditeur de fichiers CSS et PHP
define( ‘RELOCATE’, false ); // evite que l’URL de votre site puisse être modifiée dans les options
define( ‘ERRORLOGFILE’, … ); // ajoutez un chemin complet vers un fichier pour éviter la valeur par défaut trouvable par tout le monde !
define( ‘DIEONDBERROR’, false ); // pour ne pas montrer les erreurs de base de données
##
Abonnez-vous pour recevoir les prochains points Sécu, on en publie un tous les 15 jours :
https://www.youtube.com/subscription_…
Et avant de partir, n’oubliez pas de jeter un oeil à SecuPress pour dormir sur vos deux oreilles :
https://secupress.me/fr/
Source du tuto
7 Commentaires. En écrire un nouveau
SUPER VIDEO !
J'AI UNE ID pour la prochaine : la mémoire cache !
Personne n'en parle et de plus j'installe des plugins sans même savoir comment les utiliser !!
MERCI
Si on utilise l'extension Secupress, nous n'avons pas besoin de mettre ces codes PHP en plus, nous sommes bien d'accord ?
Pour les failles sql, en fait, ça dépend, avec certaines techniques, sur certains types de failles sql, il n'y a même pas besoin de deviner le préfixe des tables, le serveur nous donne directement le nom de toutes les tables et toutes les colonnes !
Bon, pour wordpress, sans plugins sans thèmes, c'est quasiment impossible (je laisse place au doute, une faille sql peut être découverte dans le futur même s'il y a peu de chances), mais attention aux plugins et thèmes qui peuvent cacher de belles failles ! Une très bonne adresse pour éviter tout problème : wpvulndb.com
Il vaut mieux prévenir que guérir, certes, mais mieux vaut prévenir de façon globale en amont plutôt qu'en détails 😉 A bon entendeur 😛
L'exemple donné sur la faille de 2015 n'est pas un cas à part, il y a eu une bonne dizaine de failles XSS sur l'année, depuis, la sécurité semble avoir été renforcée, avec des failles corrigées bien souvent dans les 24h par les contributeurs 🙂
Pour la constante "DIEONDBERROR", pourquoi la mettre sur false ? Normalement, si le mode debug est désactivé, aucune erreur n'est affichée.
Bonjour à vous ! Merci pour ces conseils ! Quand je suis dans mon fichier wp-config.php, je ne vois aucune de ces lignes, faut-il les ajouter ? Merci d'avance et continuez comme ça !
Merci super et précis
Je croyais qu'avec Gutenberg, WP voulait justement limiter l'utilisation des short-codes ? Du coup, étant à la fois admin et rédactrice sur mon site, vais-je devoir utiliser deux entrées différentes pour travailler mes articles ou les MAJ ?
C'est une vidéo extraordinaire….. je kiffe vraiment. En tout cas Merci !!!